T.C.
ĠSTANBUL TĠCARET ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ
MUHASEBE VE DENETĠM ANABĠLĠM DALI
MUHASEBE VE DENETĠM TEZLĠ YÜKSEK LĠSANS PROGRAMI
ĠÇ KONTROL SĠSTEMĠNĠN DENETĠMĠ SATIN ALMA SÜRECĠ ÖRNEĞĠ
Yüksek Lisans Tezi
Özlem TAġ 100013424
Ġstanbul, Ekim 2019
T.C.
ĠSTANBUL TĠCARET ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ
MUHASEBE VE DENETĠM ANABĠLĠM DALI
MUHASEBE VE DENETĠM TEZLĠ YÜKSEK LĠSANS PROGRAMI
ĠÇ KONTROL SĠSTEMĠNĠN DENETĠMĠ SATIN ALMA SÜRECĠ ÖRNEĞĠ
Yüksek Lisans Tezi
Özlem TAġ 100013424
DanıĢman: Dr. Öğr. Üyesi Ali Altuğ Biçer
Ġstanbul, Ekim 2019
i
ii
ÖZET
Büyümeyi hedefleyen işletmeler gelecek ile ilgili stratejilerini etkin ve verimli bir biçimde planlayarak ve hissedarlara güvenilir ve şeffaf bir yatırım ortamı sağlayarak başarıya ulaşabilir. Bunun için öncelikli olarak sağlıklı çalışan bir iç kontrol sistemine ve sistemi kontrol eden, riskleri değerlendiren, sistemin iyileştirilmesi için tavsiyelerde bulunan aynı zamanda ihtiyaç halinde danışmanlık hizmeti veren bir iç denetim departmanına ihtiyaç duyulmaktadır. Rekabet koşulları ve bilişim teknolojileri gibi alanlardaki gelişmeler ile büyüyen işletmelerin insan kaynağının artmasıyla hata, hile, usulsüzlük, yolsuzluk gibi konularda önlem alınması adına iç denetimin işletme içinde ve dışında önemi gün geçtikçe artmaktadır. Bu çalışmada denetim ve kontrol ile ilgili temel kavramlara değinilmiş, iç kontrol sistemi ve iç denetimin işletmeler açısından önemine vurgulanmıştır. Çalışmanın sonunda bir işletmede gerçekleştirilen denetim uygulaması anlatılmış olup iç denetim sonucunda hazırlanmış olan denetçi raporu ve uygulamada elde edilen bulgular değerlendirilmiştir. Çalışmanın sonucunda iç kontrol sisteminin etkinliğini sağlanmasında iç denetimin rolüne ilişkin önerilerde bulunulmuştur. Son olarak bir inşaat firmasıyla yapılan mülakat sonucunda ilgili firmanın denetim, iç kontrol ve satın alma süreçleri incelenmiştir.
Anahtar Kelimeler: İç Kontrol, Satın Alma, İç Denetim.
iii
ABSTRACT
Companies can be successful if they are able to plan future strategies effective and efficiently and by presenting reliable and transparent investment environment to their shareholders. A effective internal control system and a related department which evaluating the risks, optimizing and controlling the system and giving consulting service if it requires is crucial to achieve this success. The developments in some areas such as competitive environment and information technology and by increasing human resource requirements on growing companies, importance of internal control system is rising to take precaution on faulty, fraud, illegal and corruption subjects. In this study, basic concepts in audit and control are investigated and the importance of internal control system on the companies is underlined. Consequently, some suggestion made in terms of internal audit role on providing internal control system. Finally, the company's inspection, internal control and procurement proceses were examined at the interview with a construction company.
Keywords: Internal Control, Purchasing, Internal Audit Page.
iv
ĠÇĠNDEKĠLER
Sayfa No.
ÖZET ... ii
ABSTRACT ... iii
ĠÇĠNDEKĠLER ... iv
TABLO LĠSTESĠ ... ix
ġEKĠL LĠSTESĠ ... x
KISALTMA LĠSTESĠ ... xi
GĠRĠġ ... 1
1. ĠÇ KONTROL KAVRAMI... 3
1.1. Kontrolün Kavramsal Karşılığı ... 3
1.2. İç Kontrolün Kavramsal Karşılığı ... 4
1.3. İç Kontrolün Çeşitleri ... 7
1.3.1. Önleyici Kontroller ... 8
1.3.2. Tespit Edici/Ortaya Çıkarıcı Kontroller ... 8
1.3.3. Yönlendirici Kontroller ... 8
1.3.4. Düzeltici Kontroller ... 8
1.3.5. Boşluk Doldurucu/Telafi Edici Kontroller ... 9
1.3.6. Muhasebe Kontrolleri ... 9
1.3.7. Yönetsel Kontroller ... 9
1.4. İç Kontrolün İlkeleri ... 10
v
1.4.1. Görevlerin Ayrılığı İlkesi ... 10
1.4.2. Kıymet Hareketlerinin Yetkilendirilmiş Olması İlkesi ... 10
1.4.3. Uygun Belgeleme ve Muhasebe Kayıt Düzeninin Varolması İlkesi ... 11
1.4.4. Varlıkların ve Muhasebe Kayıtlarının Fiziki Korunması İlkesi ... 11
1.4.5. Bağımsız Mutabakat Yapılması İlkesi ... 11
1.4.6. Bölümsel Yetkilendirme İlkesi ... 11
1.4.7. Erişimin Sınırlandırılması İlkesi ... 11
1.5. İç Kontrol Sistemini Yapılandırma Modelleri ... 12
1.5.1. Cobit (Control Objectives for Information and Related Tecnology) Modeli ………..12
1.5.2. Esac (Electronic Systems Assurance and Control) Modeli ... 12
1.5.3. SysTrust (System Trust) Modeli ... 12
1.5.4. Coso (Committee of Sponsoring Organizations) Modeli ... 13
1.6. İç Kontrol Sisteminin Gerçekleştirilme Nedenleri ... 14
1.7. İç Kontrol Sisteminin Amaçları ... 16
1.8. Kontrol Sisteminin Unsurları ... 17
1.8.1. Kontrol Ortamı ... 19
1.8.2. Risklerin Değerlendirilmesi ... 21
1.8.3. Kontrol Prosedürleri/Faaliyetleri ... 23
1.8.3.1. Yetkilendirme ve Onay Prosedürleri ... 24
1.8.3.2. Görevlerin Ayrılığı ... 24
1.8.3.3. Varlıklara ve Kayıtlara Erişim Kontrolü ... 25
1.8.3.4. Doğrulamalar, Mutabakatlar ... 25
1.8.3.5. Faaliyetlerin Gözden Geçirilmesi ... 25
1.8.4. Bilgi ve İletişim ... 26
1.8.5. İzleme ... 27
vi 1.9. İç Kontrol Sisteminin Meydana Gelmesinde Etkili Olan Kurumlar ve
Yaklaşımları ... 28
1.9.1. Türkiye‟deki Kurumlar ... 29
1.9.1.1. Sermaye Piyasası Kurulu SPK Düzenlemeleri ... 29
1.9.1.2. Maliye Bakanlığı ... 29
1.9.1.3. Türkiye İç Denetim Enstitüsü ... 30
1.9.1.4. Kamu İç Denetçileri Derneği (KİDDER) ... 30
1.9.2. Uluslararası Kurumlar ... 32
1.9.2.1. IIA (Uluslararası İç Denetçiler Enstitüsü) ... 32
1.9.2.2. SEC (Amerika Sermaye Piyasası Kurulu) ... 32
1.9.2.3. INTOSAI (Uluslararası Yüksek Denetleme Kuruluşları Örgütü) ... 32
1.9.2.4. COSO (Sponsor Organizasyonlar Komitesi) ... 32
1.9.2.5. COCO (Kanada Sertifikalı Muhasebeciler Enstitüsü) ... 33
1.10. İç Kontrol ve Denetim İlişkisi ... 36
2. ĠġLETMELERDE SATIN ALMA SÜRECĠ ... 39
2.1. İşletmelerde Satın Alma İşlevi ve Gelişimi ... 39
2.2. Satın Alma Faaliyetlerinin İşletmeler İçerisindeki Yeri ... 41
2.3. Satın Alma Faaliyetlerinin İşlevleri ve Amaçları ... 43
2.4. Satın Alma Faaliyetlerinin Diğer İşletme Faaliyetleri İle İlişkisi ... 45
2.4.1. Mühendislik ... 46
2.4.2. Üretim ... 46
2.4.3. Pazarlama ... 47
2.4.4. Finans ... 48
2.5. İşletmelerin Satın Alma Hedefleri ... 48
2.6. İşletmelerin Satın Alma Türleri ... 52
2.6.1. İlk Defa Satın Alma ... 53
2.6.2. Doğrudan Tekrar Satın Alma ... 54
vii
2.6.3. Gözden Geçirilmiş Satın Alma ... 55
2.7. İşletmelerin Satın Alma Davranışlarını Etkileyen Unsurlar ... 56
2.7.1. Çevresel Faktörler ... 57
2.7.2. Örgütsel Unsurlar ... 58
2.7.3. Kişisel Faktörler ... 62
2.8. Satın Alma Sürecinde İç Kontrol Sisteminin Denetimine Yönelik Uygulama 64 2.8.1. Satın Alma Süreci ve İç Kontrol ... 64
2.8.2. İnşaat İşlerinde Satın Almada Dikkat Edilmesi Gereken Hususlar ... 65
2.8.2.1. Teklif Öncesi ... 66
2.8.2.2. Malzemenin Sipariş Edilmesi ... 67
2.8.2.3. Malzemenin Şantiyeye Gelişi, Nakliyat ... 68
2.8.3. Dikkat Edilmesi Gereken Diğer Hususlar ... 69
3. ĠÇ KONTROL SĠSTEMĠNĠN DENETĠMĠ SATIN ALMA SÜRECĠ VE BĠR UYGULAMA ... 71
3.1. Uygulamanın Amacı ... 71
3.2. Uygulamanın Kapsamı ... 71
3.3. Uygulamanın Yöntemi ... 72
3.4. Elde Edilen Veriler ... 73
3.4.1. Kontrol Ortamı – Mevcut Durumun Analizi ... 73
3.4.1.1. Satın Alma Süreci İş Akış Diyagramı ... 74
3.4.2. Risk değerlendirmesi ... 78
4.1.1. Kontrol Faaliyetleri ... 83
4.1.1.1. Satın Alma Süreci‟ne Ait Genel Risklere İlişkin Kontrol Faaliyetleri ………84
4.1.1.2. Satın Alma Talebinin Belirlenmesine Ait Risklere İlişkin Kontrol Faaliyetleri ... 86
4.1.1.3. Siparişin Verilmesine Ait Risklere İlişkin Kontrol Faaliyetleri ... 88
viii 4.1.1.4. Alımın Yapılmasına Ait Risklere İlişkin Kontrol Faaliyetleri ... 92 4.1.1.5. Stoklama Yapılmasına Ait Risklere İlişkin Kontrol Faaliyetleri ... 93 4.1.1.6. Muhasebe Kayıtlarının Yapılmasına Ait Risklere İlişkin Kontrol Faaliyetleri ... 95 SONUÇ ... 99 KAYNAKÇA ... 104
ix
TABLO LĠSTESĠ
Sayfa No.
Tablo 1. İç Kontrol Sistemlerinin İçerik, Amaç ve Sorumluluk Açısından
Karşılaştırılması ... 14
Tablo 2. Coso Modeli Amaçları ve Unsurlar ... 33
Tablo 3. Satın Almada Stratejik Öncelikler ... 59
Tablo 4. Satın Alma Süreci Genel Riskler. ... 79
Tablo 5. Satın Alma Talebinin Belirlenmesine İlişkin Riskler. ... 79
Tablo 6. Siparişin Verilmesine İlişkin Riskler ... 80
Tablo 7. Alımın yapılmasına ilişkin riskler... 81
Tablo 8. Stok Yapılmasına İlişkin Riskler ... 81
Tablo 9. Muhasebe Kayıtlarının Yapılmasına İlişkin Riskler ... 82
x
ġEKĠL LĠSTESĠ
Sayfa No.
ġekil 1. Görevlerin Ayrılığı İlişkisi ... 10
ġekil 2. İç Kontrol Sistemi Bileşenleri (COSO Küpü) ... 18
ġekil 3. Coco Modelinin Yapısı ... 34
ġekil 4. Satın Alma ve Diğer Fonksiyonlar ile İlişkisi ... 45
ġekil 5. İşletmelerde Satın Alma Davranışını Etkileyen Faktörler ... 56
ġekil 6. Firma Organizasyon Şeması ... 73
ġekil 7. Satın Alma Talebinin Belirlenmesi ... 75
ġekil 8. Siparişin Verilmesi ... 76
ġekil 9. Alımın Yapılması ... 76
ġekil 10. Stoklama Yapılması ... 77
ġekil 11. Muhasebe Kaydının Yapılması ... 77
xi
KISALTMA LĠSTESĠ
COSO: Sponsor Organizasyonlar Komitesi
IFAC: Uluslararası Muhasebe Uzmanları Federasyonu AICPA: Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü INTOSAI: Yüksek Denetim Kurumları Örgütü
OECD: İktisadi İşbirliği ve Gelişme Teşkilatı SPK: Sermaya Piyasa Kurulu
TİDE: Türkiye İç Denetim Enstitüsü KİDDER: Kamu Üç Denetçiler Derneği
ECIIA: İç Denetim Enstitüleri Avrupa Konfederasyonu IIA: Uluslararası İç Denetçiler Örgütü
ABD: Amerikan Birleşik Devletleri
AAA: Amerikan Muhasebe Kuruluşu
FEI: Finansal Yöneticiler Enstitüsü
1
GĠRĠġ
Yaşanan muhasebe skandallarından sonra işletmeler açısından iç kontrol sisteminin gerekliliği çok daha önemli bir hal almıştır, bununla birlikte sürekli değişen ve gelişen piyasalara ve oluşan rekabete de ayak uydurması zorunlu bir durumdur.
İşletmeler söz konusu duruma ayak uydurabilmek için gelişimi sürekli kılmak, büyümek ve kendilerini yenilenmek zorundadır. Durum böyle olunca ortaya hata ve hilelerin çıkma olasılığı yükselecek ve işletmelerin kendini denetleme imkânı da zorlaşacaktır.
Bu gibi nedenlerden dolayı işletmeler için iç kontrol zorunlu bir hâl almıştır.
İç kontrol, işletmeler açısından sadece denetlemeye yardımcı olan, hata ve hileleri önleyen bir sistem değildir. Aynı zamanda, işletmelerin varlıklarının korunması, belirlenen hedef ve politikalara sadık kalınması, faaliyetlerle ilgili koordinasyonun ve işletme kontrollerinin sağlanması gibi birçok konuda yardımcı olan bir sistemdir.
İşletmeler kâr elde etmek, varlığını sürdürmek, topluma hizmet etmek, büyümek gibi amaçları gerçekleştirmek için kurulmaktadır. İşletme amaç ve hedeflerinin gerçekleştirilmesi işletmelerin sürdürülebilirliğiyle ilgilidir. İşletmeler belirlediği hedefleri ve amaçları gerçekleştirebildiği sürece varlığını devam ettirebilir. İşletmelerin fiziki olarak büyümesi, işletme faaliyetleriyle ve değer hareketleriyle oluşan işlemlerin sayısını ve karmaşıklığını artırmıştır. Bu durum işletme yönetiminin işletme faaliyetlerini doğrudan doğruya kontrol etme olanağını ortadan kaldırmıştır. İşletme varlıklarının korunması, hata ve hilelerin önlenmesi, güvenilir verilerin toplanması, işletme politikalarının değerlendirilmesi, yetkilerin göçerilmesi ve sorumlulukların yaygınlaştırılması işletmeler için bir gereklilik haline gelmiştir. Yaşanan bu gelişmeler, işletme yönetimini kontrol mekanizmasını kurmaya ve etkin hâle getirmeye yönlendirmiştir. Bu durum iç kontrol sisteminin işletmeler açısından önemini ortaya koymaktadır.
Yaşanan ekonomik ve teknolojik gelişmeler, ülkeler arasındaki ekonomik sınırların ortadan kalkması, tüketici taleplerinde görülen değişimler gibi nedenler, işletmelerin içinde bulunduğu pazar koşullarını ve rekabet ortamını daha karmaşık ve güç bir yapıya dönüştürmüştür. İşletmelerin, değişen koşullara uyum sağlamaları ve artan rekabet ortamında varlıklarını devam ettirebilmeleri için, periyodik olarak
2 değerlendirilmeleri ve sürekli iyileştirilmeleri gerekmektedir. İşletmelerin sürekliliğinin içinde bulunduğu rekabet ortamına ve rekabet gücüne bağlı olduğu düşünüldüğünde, daha karmaşık ve gelecek odaklı kararlar alabilmeleri gerekmektedir. Bu bağlamda işletmeler açısından, işletme amaçlarının gerçekleştirilme düzeyi olan işletme performansının ölçülmesi ve değerlendirilmesi önemli hale gelmektedir. Yaşanan bu gelişmelere ve değişimlere uyum sağlamak isteyen işletmeler, sorumluluk sahibi olarak işletme yönetimi, işletme amaç ve hedeflerini belirlemek, etkin bir performans yönetim sistemi kurmak, işletmenin performansını ölçmek ve performansı iyileştirmek için gereken önlemleri almak zorundadır.
İç kontrol sistemi ve işletme performansı kavramları yönetimin amaçlarına ulaşması noktasında kullandığı araçlar arasında yer almaktadır. Bu noktada bu iki kavramın birbiriyle ilişkisi olduğu düşünülmektedir. İç kontrol sistemi işletme performansına göre, daha genel olarak yönetim fonksiyonlarından planlama ile başlayıp, yürütme, örgütleme ve koordinasyon fonksiyonlarının başarısını değerlendiren bir sistemdir. Bu çerçevede çalışmada iç kontrol sisteminin denetimi ve satın alma sürecine olan etkileri incelenmektedir.
3
1. ĠÇ KONTROL KAVRAMI
1.1.Kontrolün Kavramsal KarĢılığı
Kontrol, planlanan bir amaca ulaşılıp ulaşılmadığının araştırılmasıdır (Türedi, 2008, s. 7). İşletme açısından, bir işletmenin belirlediği amaçlara ve hedeflere ulaşmasını sağlayacak politika ve uygulamalar dizisine kontroller adı verilmektedir (Baskıcı, 2015, s. 166). Genel bir ifade ile kontrol, işletmede öngörülen hedeflere, planlara, politikalara ve standartlara ulaşılmasını güvence altına almaya yönelik olarak yapılan eylemlerdir (Uçma Uysal, 2015, s. 55).
Kontrol, bir işletmenin amaçlarına ve hedeflerine ulaşmasını sağlamak için alınan önlemlerdir ve yönetimin en önemli fonksiyonlarından birisidir (İbiş ve Çatıkkaş, 2012, s. 97). Kontrol kavramı işletmeler açısından planlama fonksiyonu ile bağlantılı ve diğer fonksiyonları içine alarak onların başarısını ölçmeye yarayan bir kavramdır (Atmaca ve Yılmaz, 2011, s. 18). Diğer yönetim fonksiyonları açısından kontrol, faaliyet sonuçlarını tespit ederek planlama, örgütleme, yürütme ve koordinasyon fonksiyonlarının neyi, nasıl ve hangi ölçüde gerçekleştirdiğini ortaya koymaktadır.
Kontrol faaliyetlerinin temel amacı hataları tespit etmek ve düzeltici önlemler alarak yeniden ortaya çıkmasını engellemektir. Bu yönüyle kontrol, yönetimin (yöneticinin) işletmede yürütülen ve tamamlanan işleri değerlendirme ve düzeltme faaliyetidir (İbiş ve Çatıkkaş, 2012, s. 97).
Kontrol, işletme yöneticilerinin işletmeye ait önceden planlanan sonuçları ve gerçekleşen sonuçları karşılaştırmalarına yardımcı olan faaliyetlerden oluşmaktadır (Atmaca ve Yılmaz, 2011, s. 18). İşletme amaçlarınaæ ulaşılmasıæ veæ hedeflerininæ gerçekleştirilmesi,æ işletmeninæ varlığınıæ devamæ ettirebilmesi,æ geleceğeæ aitæ belirsizlikleriæ veæ riskleriæ yönetmekæ içinæ işletmeæ tarafındanæ alınanæ önlemlerinæ tümüæ kontrolæ kapsamına girmektedir (Acar ve Akçakanat, 2012, s. 3). Bununla birlikte kontroller, faaliyetlerin tümünü kapsamaktadır ve işletmenin tüm faaliyetlerine ve yapılarına yayılmışdır (Saltık, 2007, s. 1; Akt. Bakkal ve Kasımoğlu, 2012, s. 179).
Yönetim tarafından kontrol faaliyetlerinin etkili bir biçimde uygulanabilmesi, etkin bir iç kontrol sisteminin kurulmuş olmasına bağlıdır (Bakkal ve Kasımoğlu, 2012, s. 181). Kontrolün birincil sorumluluğu işletmenin iç kontrolü konusunda uzman olarak görülen iç denetçi ile sınırlı olmakla beraber; nihai sorumluluğu yönetimle ilgilidir
4 (Herremans, 1997, s. 60). Sistemin etkinliği noktasında işletmeye iç denetçiler yardımcı olur. İç denetçiler iç kontrol sisteminin etkinliğini değerlendirir ve iç kontrol sisteminin kurulmasından sorumlu değillerdir (Türedi, 2008, s. 7). İç kontrol, dış denetçinin çalışmalarını başlattığı başlangıç noktası olarak düşünülür ve denetim yapılırken denetçinin dayanağını temsil eder (Al-Laith, 2012, s. 14). Bu bağlamda iç kontrol ve iç denetimin birbirlerinden farklı olduğu fakat birbirlerini tamamlayan iki kavram olduğu söylenebilir (İbiş ve Çatıkkaş, 2012, s. 99).
Yaşanan ekonomik ve teknolojik gelişmeler, ekonomik sınırların ortadan kalkması, küreselleşen dünya, rekabetin artması, işletmelerin gelişmesi ve büyümesi ile birlikte kontrol kavramı da gelişmiştir. Kontrol sürecinin yerini finansal, yönetimsel ve yasal kontrollerin hepsini kapsayan bir iç kontrol anlayışı almıştır (Bakkal ve Kasımoğlu, 2012, s. 179). Yönetimin bir fonksiyonu olan kontrollerin oluşturduğu bu yapıya ise iç kontrol sistemi adı verilmektedir.
1.2.Ġç Kontrolün Kavramsal KarĢılığı
İç kontrol, işletmenin amaçlarını elde etmesinde yönetime kabul edilebilir bir güvence sağlamak amacıyla, işletme yönetimi tarafından oluşturulan politika ve prosedürlerden oluşan bir sistemdir (Selimoğlu, 2011, s. 90). Bu sistem, işletme yönetiminin kontrol fonksiyonunu yerine getirmek için kullandığı bir araç olarak düşünülebilir (Özbirecikli vd., 2015, s. 500). İç kontrol, işletme faaliyet süreçlerinin ve iş akışlarının içerisine yerleştirilen, kişilerden etkilenen ve kişileri etkileyen, işletmenin hedeflerine ulaşmasında kullanılan bir araçtır (İbiş ve Çatıkkaş, 2012, s. 98). İç kontrol, işletmede kullanılan finansal raporlama, bütçeleme, denetim komitesi, dış denetim gibi işletme problemlerini çözmek için kullanılan mekanizmalardan biridir (Morris, 2011, s.
130). Bunların yanında yapılan ulusal ve uluslararası çalışmalarla iç kontrol sisteminin birçok tanımı yapılmıştır.
Treadway Komisyonu‟nun Sponsor Organizasyonlar Komitesi, 1992 yılında İç Kontrol - Bütünleşik Çerçeve (COSO Raporu) adlı bir rapor yayınlamıştır. COSO Raporunun amacı, ilgili taraflar arasında, iç kontrol konusunda ortak bir anlayış sağlayan bir çerçeve sunmaktır (Aldridge ve Colbert, 1994, s. 21). Bu raporda, iç kontrol tanımlanmakta ve çerçevesi çizilmektedir. Bu rapora göre iç kontrol, bir işletmenin yönetim kurulu, yönetimi ve diğer çalışanları yoluyla gerçekleştirilen,
5 işletme faaliyetlerinin etkinliği ve verimliliği, finansal raporların güvenilirliği, yasa ve diğer düzenlemelere uyum hedeflerinin gerçekleştirilmesiyle ilgili olarak, işletme yönetimine kabul edilebilir güvence sağlamak amacıyla oluşturulan ve yürütülen bir süreçtir (Rae ve Subramaniam, 2008, s. 104-105).
Dolayısıyla iç kontrol sistemi, bir işletmede her şeyin gerektiği gibi çalıştığına dair makul bir güvence sağlamak için aldığı tüm önlemlerden oluşur (Duncan vd., 1999, s. 144).
Uluslararası Muhasebe Uzmanları Federasyonuna (International Federation of Accunting -IFAC) göre iç kontrol sistemi, işletme varlıklarının korunması, hataların ve yolsuzlukların bulunması ve önlenmesi, muhasebe verilerinin doğruluğunun, güvenilirliğinin ve zamanında hazırlanmasının sağlanması ile işletme faaliyetlerininæ yönetimæ politikalarınaæ uygunluğununæ sağlanmasıæ amaçlarınaæ ulaşmakæ içinæ işletmeæ faaliyetlerininæ düzenliæ veæ etkinæ biræ şekildeæ yürütülmesineæ yardımcıæ olan,æ işletmeæ yönetimiæ tarafındanæ kabulæ edilmişæ politikalaræ ve prosedürlerdir (Aktürk ve Kılıç, 2015, s.
6567).
Görüldüğü gibi iç kontrol kavramı konusunda, farklı uluslararası kuruluşlar tarafından benzer tanımlar yapılmaktadır. Bununla birlikte iç kontrol, bir işletmenin amaçlarına ve hedeflerine ulaşmak için yaptığı tüm planlarını, politikalarını, finansal ve finansal olmayan faaliyetlerini ve işlemlerini kapsayan, birleştiren ve bütünleştiren bir sistemdir (Acar ve Akçakanat, 2012, s. 3). Yapılan tanımlar kapsamında iç kontrolün temel özellikleri aşağıdaki gibi ifade edilebilir (Uçma Uysal, 2015, s. 59-60; Akbulut, 2012, s. 177);
İç kontrol bir süreçtir,
İç kontrol işletme faaliyetlerinin sürekli olarak uygulanan bir parçasıdır,
İç kontrol sistemi bir amaç değildir, hedeflere ulaşmada kullanılan bir araçtır,
İç kontrol çalışanlar tarafından hayata geçirilir, çalışanlardan etkilenir ve çalışanları etkiler,
İç kontrol, işletme yönetimine kesin bir güvence vermez, sadece makul bir güvence verebilir,
6
Her işletmenin kullanabileceği tek tip bir iç kontrol sistemi yoktur, iç kontrol sistemi işletmelerin yapısına uygun hale getirilebilir.
Bir işletmenin iç kontrol sisteminin başlıca hedefleri, işletme yönetimine, finansal bilgilerin doğru ve güvenilir olduğu; işletmenin politika, plan, prosedür, kanun, yönetmelik ve sözleşmelere uymakta olduğu; işletme varlıklarının, kayıp ve hırsızlığa karşı korunmakta; kaynakların ekonomik ve verimli bir şekilde kullanıldığına;
işletmenin amaçlarının ve hedeflerinin karşılanabileceğine dair makul bir güvence sağlamaktır (Fadzil vd., 2005, s. 848). Tüm dünyadaki standart belirleme organlarınca ve düzenleyicilerince, etkin bir iç kontrol sisteminin yöneticilere, yönetimin temel amaçlarının başarılabileceği konusunda makul bir güvence sağladığı kabul edilmektedir.
Uluslararası Muhasebe Uzmanları Federasyonu (IFAC), işletme başarısızlığına karşı en iyi savunmanın ve işletme performansının önemli bir sürücüsünün etkili bir iç kontrol sistemine sahip olmak olduğunu belirtmektedir (Al-Thuneibat vd., 2013, s. 196-197).
İşletmede iç kontrol sistemi, öncelikle finansal tabloların güvenilirliğini ve anlaşılır olmasını hedeflemekte, mali riskleri ve muhasebe risklerini azaltmak;
bunlardan kaçınmak ve bunları yönetmek amacıyla kurulmaktadır. Bu nedenle, iç kontrol sistemini kurmak isteyen işletme sahipleri veya işletme yönetimi, ilk olarak işletmenin karşılaşabileceği finansal riskleri ve muhasebe risklerini tespit etmelidir.
Sonra bu risklerden kaçınmak için veya risklerin gerçekleşme olasılığını asgari düzeyde tutmak için politikalar ve uygulamalar belirlenmeli ve gerekli personele iletilerek, personel bilgilendirilmelidir (Kepekçi, 2004, s. 70; Türedi, 2008, s. 8). Bu doğrultuda iç kontrol sisteminin, olası hata ve riskleri azalttığı ve iç kontrol sisteminin kalitesi ile finansal bilgilerin doğruluğu ve güvenilirliği arasında doğrusal bir ilişki olduğu söylenebilir. Yani iç kontrol yapısının etkinliği arttıkça, işletme bilgilerinin güvenilirliği artmakta, denetim ve hata riski azalmaktadır (Aksoy, 2005, s. 150).
Bir işletmenin etkin iç kontrol sistemine sahip olmaması durumunda, işletmenin mali tablolarında bir maddi zayıflık bulunduğu söylenebilir. Bununla birlikte, maddi zayıflığı bulunmayan bir işletmenin etkili bir iç kontrol sistemine sahip olduğu ve bildirilen her bir maddi zayıflığın, bir işletmenin iç kontrol sisteminin etkinliğini azalttığı da söylenebilir (Lansiluoto vd., 2016, s. 6). Buna paralel olarak, iç kontrol sisteminin amaçları açısından, güçlü iç kontrol sistemine sahip olan işletmelerin mali
7 performansının zayıf iç kontrol sistemleri olan işletmelerin performansından daha iyi olması beklenmektedir (Al-Thuneibat vd., 2015, s. 197). Araştırmalar, iç kontrolün işletme maliyetlerini düşürdüğünü (Morris, 2011, s. 130) ve zayıf iç kontrollere sahip firmaların piyasa değerinin daha düşük olduğunu ortaya koymaktadır. Başarılı işletmelerin, kontrollerin etkili bir şekilde uygulanması yoluyla, her durumda fırsatlardan nasıl faydalanacağını ve tehditlere karşı nasıl hareket edeceğini bildiği ve bu nedenle performanslarının arttığı (Al-Thuneibat vd., 2015, s. 197) söylenebilir.
İç kontrol sisteminin tanımında belirtildiği gibi iç kontrol sisteminin amaçlarından biriside muhasebe verilerinin ve finansal tabloların doğruluğu, güvenilirliği ve zamanında hazırlanmasını sağlamaktır. İç kontrol sisteminin tanımında yer alan bu amaç ve bir önceki paragrafta ifade edilen bilgiler, çalışma fikrinin ortaya çıkmasında etkili olmuştur. Bir işletmenin performansını tam olarak ölçebilmesi ve değerlendirebilmesi işletmenin finansal bilgilerinin doğruluğuna bağlıdır. Bu noktada iç kontrol sistemi ve işletme performansı ilişkisi, iç kontrol sisteminin işletme performansı üzerindeki önemi ortaya çıkmaktadır.
1.3.Ġç Kontrolün ÇeĢitleri
Kontrol kavramı temelinde birbirleriyle uyumlu, birbirlerini destekleyen önlemlerden oluşan bir sistemdir (Usul vd., 2011, s. 49). Her işletmenin detaylı ve yazılı hale getirilmiş olmasa bile kendine has bir iç kontrol sistemi vardır (Kiracı, 2003, s. 75).
Onay merkezleri, personel toplantıları, açık iletişim noktaları, bütçe sistemleri, erişim prosedürleri, risk değerlendirmeleri gibi örnekler iç kontrol sisteminin varlığını gösterir (Ömürbek ve Altay, 2011, s. 382-383). Bununla birlikte kontroller farklı şekilde sınıflandırılabilir. Kontrollerin sınıflandırılmasında; yapılış amacı ve aşaması, kime, nerede, kim tarafından, hangi birimde yapılacağı gibi ölçütler kullanılmaktadır. Buna göre kontroller; işletme fonksiyonları olarak nitelendirilen; insan kaynakları, üretim, muhasebe ve finansman, pazarlama gibi faaliyetlerin, işletme yönetiminin ve işletmenin faaliyet departmanlarının (birimlerinin) kontrolü olarak üçe ayrılabilir (İbiş ve Çatıkkaş, 2012, s. 97).
Bununla birlikte yapılış amacına ve aşamasına göre kontrol faaliyetleri beşe ayrılmaktadır. Bunlar; önleyici kontroller, ortaya çıkarıcı/ tespit edici kontroller, yönlendirici kontroller, düzeltici kontroller ve telafi edici kontrollerdir. Yapılış amacına
8 ve aşamasına göre kontroller aşağıdaki gibi açıklanmaktadır (Ömürbek ve Altay, 2011, s. 382-383).
1.3.1. Önleyici Kontroller
İşletme sistemlerinin çalışmasını güvence altına almak, istenmeyen durumların meydana gelmesini ve istenmeyen sonuçları önlemek amacıyla yapılan kontrollerdir. Etkin bir kontrol ortamı oluşturmak, yetkin personel istihdamı, etik kodlar, görevlerin ayrılığı, yetkilendirme, erişim prosedürleri, güvenlik personeli, kilit ve şifre uygulamaları örnek olarak verilebilir (Ömürbek ve Altay, 2011, s. 383). Önleyici kontroller, sorun ortaya çıkmadan önce gerçekleştirilen, sorunun ortaya çıkmasını önlemeye yönelik olarak yapılan kontrollerdir.
1.3.2. Tespit Edici/Ortaya Çıkarıcı Kontroller
Gerçekleştiğinde istenmeyen bir durumu ortaya çıkaran, istenmeyen sonuçları tanımlamak için yapılan kontrollerdir (İbiş ve Çatıkkaş, 2012, s. 98). Gerçekleşen bir hatanın veya hilenin nerede ve kim tarafından yapıldığını anlamak (Kaval, 2008, s. 134) ve işletme varlıklarının korunması amacıyla yapılırlar (Usul vd., 2011, s. 50). Tespit edici kontroller bir sorun ortaya çıktığında devreye giren ve sorunun kaynağının bulunup düzeltilmesini amaçlayan kontrollerdir.
1.3.3. Yönlendirici Kontroller
Hedeflerin gerçekleştirilmesi, istenen bir durumun meydana gelmesi veya oluşmasına yönelik yapılan, açık bir yön ve rehberlik sağlayan kontrollerdir.
Çalışanların işletme amaçları doğrultusunda hareket etmesini sağlayan, çalışanları motive eden pozitif uygulamalardır. Personel eğitimleri, etik ilkeleri, yürürlükte olan mevzuat, ödüllendirme sistemi gibi örnekler verilebilir (Ömürbek ve Altay, 2011, s.
383).
1.3.4. Düzeltici Kontroller
Gerçekleşmesi istenilmeyen sonuçları ve durumları tersine çevirmek veya yeniden ortaya çıkmalarını engellemek için yapılan kontrollerdir (İbiş ve Çatıkkaş, 2012, s. 98). Düzeltici kontroller, ortaya çıkan problemlerin doğru ve zamanında çözülebilmesi için yapılırlar. Yönetim faaliyetleri, düzeltmeler, yangın söndürücüler, acil müdahale araçları gibi örnekler verilebilir (Ömürbek ve Altay, 2011, s. 383).
9 1.3.5. BoĢluk Doldurucu/Telafi Edici Kontroller
İşletmede uygulanmayan ya da uygulama maliyeti çok yüksek olan kontrollerin yerini kısmen tamamlayan, telafi etmeye yönelik olarak yapılan kontrollerdir (Aksoy, 2005, s. 143). Bu tür kontroller, genel olarak faaliyet veya eylem sonrası gerçekleştirilen kontrollerdir. Genellikle yöneticilerin, alacakları kararlar çerçevesinde riskli gördükleri özel alanlarda ani ve rutin olmayan işlemlerden, önlemlerden oluşur.
Bazen işletmelerde önleyici kontrolleri uygulamak için yeterli finansal kaynak veya insan kaynağı bulunmayabilir. Bunun gibi durumlarda telafi edici kontroller devreye girer (Ömürbek ve Altay, 2011, s. 383).
Yukarıda yapılan sınıflandırma ile birlikte kontrol faaliyetlerini yapıcı ve onarıcı kontroller olarak değerlendiren araştırmacılar da vardır. Yapıcı kontroller, önleyici ve tespit edici kontrollerdir. Düzeltici kontroller ise onarıcı olarak işlev görmektedir. Bu açıdan önleyici kontroller ve tespit edici kontroller aynı kontrol amacına ulaşmak için yapılmakla birlikte önleyici kontroller tespit edici kontrollere göre daha yoğundur (Acar ve Akçakanat, 2012, s. 5). 189). Bununla birlikte kontroller, iç kontrol sistemleri;
muhasebe kontrolleri ve yönetsel kontroller olarak ikiye sınıflandırılmaktadır.
1.3.6. Muhasebe Kontrolleri
Bir işletmenin muhasebe ve finansal faaliyetlerine yönelik olarak yapılan, varlıkların korunması, muhasebe ve finansal kayıtların ve bilgilerin güvenilirliğinin sağlanması amacıyla yapılan kontrollerdir (Güredin, 2008, s. 316; Gürbüz, 1995, s. 46).
Belirlenen yetkiler dâhilinde yapılan işlemlerin genel kabul görmüş muhasebe ilkelerine göre kaydedilmesini amaçlarlar (Dabbağoğlu, 2007, s. 110). Bu tür kontroller genel olarak, yetkilendirme ve onaylama; kayıt tutma, görevlerin ayrılığı gibi, yöntem, faaliyetler veya varlıkların korunması, varlıklar üzerindeki fiziki kontroller, işlem ve örgüt planlarından oluşmaktadır (Güredin, 2008, s. 316). Muhasebe kontrollerinin temel amacı işletmenin mali tabloların zamanında ve doğru düzenlenmesidir (Kaval, 2008, s.
127). Bu doğrultuda muhasebe kontrollerinin finansal tabloların hazırlanmasını, güvenilirliğini doğrudan etkilediği söylenebilir (Kaya ve Köse, 2013, s. 112).
1.3.7. Yönetsel Kontroller
Organizasyon planı, işletme faaliyetlerinin etkinliği ve verimliliği, yönetimin belirlediği politikalara ve prosedürlere uyulmasıyla ilgili tüm yöntem ve uygulamaları
10 kapsayan kontrollerdir (Kurnaz ve Çetinoğlu, 2010, s. 37; Güredin 2008, s. 316). Genel olarak istatistik analizleri, zaman ve hareket etütleri, performans raporları, insan kaynakları eğitim programları ve kalite kontrolü yöntem ve faaliyetleri yönetsel kontrolleri oluşturmaktadır (Gönen ve Ergun, 2008, s. 188; Güredin 2008, s. 316;
Dabbağoğlu, 2007, s. 110; Türedi, 2011, s. 27).
1.4.Ġç Kontrolün Ġlkeleri
İç kontrolün ilkeleri 7 başlık altında incelenir.
1.4.1. Görevlerin Ayrılığı Ġlkesi
Bu ilkenin amacı bilerek ya da bilmeyerek olabilecek hataların önüne geçilmesi, yapılmış hataların mümkün olduğu kadar çabuk tespit edilebilmesidir. Bir değer hareketinin en başından sonuna kadar ve muhasebe kayıtlarına kaydedilmesine kadar sorumluluğun tek bir kişi tarafından değil, birkaç görevli arasında paylaştırılmasıdır.
Firmanın büyüklüğü gözönüne alınarak, hata ve yolsuzlukları ortaya çıkarabilecek biçimde görevler farklı kişiler arasında paylaştırılabilir (Toroslu, 2014, s. 82-83).
ġekil 1. Görevlerin Ayrılığı İlişkisi
Kaynak: Bozkurt, N. (2006). Muhasebe Denetimi, İstanbul: Alfa Yayınları, 4.
Basım, s.128.
1.4.2. Kıymet Hareketlerinin YetkilendirilmiĢ Olması Ġlkesi
Kişilere verilen yetkiler özel ya da genel olabilir. Genel bir politika kapsamında yürütülen yetkiler genel, özel bir alım ya da ödeme için verilmiş olan yetki ise; özel nitelik kapsamındadır (Sağlam ve Yolcu, 2014, s. 195).
11 1.4.3. Uygun Belgeleme ve Muhasebe Kayıt Düzeninin Varolması Ġlkesi Etkin bir iç kontrolün varlığı için uygun bir belgeleme düzeni gerekmektedir.
Muhasebe kayıtlarının kayıt ortamına kaydedilmesi sırasında kaydı yapan her bölüm bunu bir belgeye dayandırmalıdır. Belgeleme; fatura, irsaliye, tahsil fişi, tediye fişi, ödeme belgesi, tesellüm raporu ile yapılır ve sorumluluk belge üzerinde izlenir (Sağlam ve Yolcu, 2014, s. 195). Belgeler ve kayıtlar, mutlaka sıra numaralı olmalı, kıymet hareketi meydana geldiği anda hazırlanmalıdır (Berdibek, 1998, s. 6).
Güvenilir muhasebe kayıtlarının tutulabilmesi ve muhasebe bilgilerinin ilgi duyanlara, zamanında raporlanabilmesi için firmada iyi işleyen bir muhasebe organizasyonu bulunmalıdır.
1.4.4. Varlıkların ve Muhasebe Kayıtlarının Fiziki Korunması Ġlkesi Varlıkların ve muhasebe kayıtlarının fiziki olarak korunması için her türlü fiziksel önlem alınmalıdır. Bilgisayara kaydedilmiş olan muhasebe kayıtlarının düzenli olarak yedeklenmesi, yangına karşı korunmalı kasaların kullanılması, iyi bir depo veya ambar düzeninin sağlanması, bilgi işlem sisteminin gerekirse özel bir odada korunması sayılabilir (Sağlam ve Yolcu, 2014, s. 195).
1.4.5. Bağımsız Mutabakat Yapılması Ġlkesi
İç kontrol sistemi unsurlarının uygun olarak çalıştırılıp çalıştırılmadığını kontrol etmek için bağımsız iç mutabakatların yapılması gerekmektedir. Bu mutabakatlar firmanın iç denetçileri ve dış denetçileri tarafından belirli aralıklarla önceden haber verilmeden denetlenmeli, denetim sonucunda uyumsuzluklar yönetime raporlanmalıdır (Sağlam ve Yolcu, 2014, s. 196).
1.4.6. Bölümsel Yetkilendirme Ġlkesi
İşlem yetkisinin işletme genelinde değil de bölümlerde kullanılmasıdır (Sağlam ve Yolcu, 2014, s. 195).
1.4.7. EriĢimin Sınırlandırılması Ġlkesi
İşletmede her birimin görevi, çalışma şartları, fiziki durumu ve personel açısından birbirinden farklılıklar gösterir. Varlıkların hırsızlığa karşı korunması gibi üretim yerinin satış ofisinden, veznenin muhasebeden hem fiziki olarak hem de personel olarak ayrılmasıdır (Sağlam ve Yolcu, 2014, s. 195).
12 1.5.Ġç Kontrol Sistemini Yapılandırma Modelleri
İç kontrol sistemini yapılandırmaya yönelik pek çok model geliştirilmiştir.
Günümüzde en çok kullanılan ve bilinen model COSO İç Kontrol Modeli olmakla birlikte Cobit, Esac ve SysTrust Kontrol Modelleri de yaygın bilinen modellerdir.
1.5.1. Cobit (Control Objectives for Information and Related Tecnology) Modeli
İşletmelerde bilgi işlem teknolojilerinin kullanılması sonucu ortaya çıkabilecek risklerin kontrolü amacıyla geliştirilen Cobit modeli iç kontrol sistemini yapılandırma modellerinden biridir. Cobit modelinin ilk sürümü 1996 yılında yayımlanmış ve Türkçeye “Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri” olarak çevrilmiştir. 1996 yılında yayımlanan ilk model genel anlamda denetim ile sınırlıdır. Cobit modeli işletmelerde bilgi işlem teknolojileri ve işletmenin tamamında etkilidir. Cobit modelinde sorumluluklar Sarbanes Oxley Yasası doğrultusunda Amerikan Menkul Kıymetler Borsası Komisyonu tarafından yapılan düzenlemeyle uyumlu bir şekilde üst yönetim, dış denetçi ve iç denetçiler arasında paylaştırmıştır. Daha sonra yayımlanan sürümler ile modelin kapsamı genişletilmiştir (Akışık, 2005, s. 99; Aksoy, 2005, s. 145).
1.5.2. Esac (Electronic Systems Assurance and Control) Modeli
İşletmelerde bilgi işlem teknolojileri kullanımı nedeniyle karşılaşılabilecek risklere yönelik olarak geliştirilen Esac modeli iç kontrol sistemini yapılandırma modellerinden bir diğeridir. Model 2001 yılında yayımlanmış ve Türkçeye “Elektronik Sistemlerde Güvence ve Kontrol” olarak çevrilmiştir. Esac modelinin etki alanı işletmenin bilgi işlem teknolojileridir. Sistemin tesis edilmesinden yönetim, etkin ve verimli çalışmasından ise iç denetçiler sorumlu tutulmuştur. Böylece iç denetçiler bilgilerin güvenilirliği ve işletme kaynaklarının etkin kullanımının yanı sıra bilgi işlem sistemlerinin etkin çalışmasından da sorumlu tutulmuşlardır. Bu durum iç denetçilerin finans ve muhasebe konularıyla birlikte bilgisayar sistemlerinin denetimi konusunda da yetkin olmalarını gerekli kılmıştır (Akışık, 2005, s. 99; Aksoy, 2005, s. 145-146;
Toroslu, 2012, s. 165).
1.5.3. SysTrust (System Trust) Modeli
SysTrust güvenilir finansal raporlama ve yönetimin amaçlarına ulaşabilmesi için elektronik ortamda üretilen bilgilerin güvenilirliğini sağlamak üzere geliştirilen iç
13 kontrol sistemini yapılandırma modelidir. Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) ve Kanada Yetki Belgeli Kamu Muhasebecileri Enstitüsü (CICA) tarafından 1999 yılında geliştirilmiş, Türkçeye “Güven Sistemi” olarak çevrilmiştir.
Model işletmelerde bilgi sistemleri üzerinde etkilidir. SysTrust modelinde sistemi tesis etme sorumluluğu yönetime, sistemin etkin çalışma sorumluluğu ise dış denetçilere verilmiştir (Aksoy, 2005, s. 145; Dabbağoğlu, 2009, s. 111).
1.5.4. Coso (Committee of Sponsoring Organizations) Modeli
COSO modeli işletmelerde güvenilir finansal raporlama, faaliyetlerin etkinliği, yasa ve yönetmeliklere uyumun sağlanması amacıyla geliştirilen iç kontrol modelidir.
COSO modeli; COSO tarafından 1992 yılında hazırlandıktan sonra Dünya çapında kabul gören bir iç kontrol sistemini yapılandırma modeli olmuştur. Model işletmelerde olması gereken temel iç kontrol uygulamalarının değerlendirilmesini sağlamıştır.
Yayınlandıktan sonra önce özel sektörde daha sonra kamu sektöründe de uygulama alanı bulmuştur. COSO modelinde sistemi oluşturma ve etkin çalışmasının sağlanması sorumluluğu yönetime verilmiştir (Korkmaz, 2011: 2; Türedi, 2011: 29). COSO modeli yaşanan gelişmelerle birlikte 2013 yılında güncellenmiştir.
Açıklanan iç kontrol sistemini yapılandırma modelleri aşağıda içerik, amaç ve sorumluluk yönünden karşılaştırılmıştır.
14 Tablo 1. İç Kontrol Sistemlerinin İçerik, Amaç ve Sorumluluk Açısından
Karşılaştırılması
COSO COBİT ESAC SYSTRUST
Sistemi oluşturma sorumluluğu
İşletme yönetimi Yönetim Yönetim Yönetim
Sistemi etkin çalıştırma sorumluluğu
Yönetim Yönetim, iç ve
bağımsız dış denetçiler
İç denetçiler Bağımsız Dış denetçiler
İç kontrol sisteminin etki alanı
İşletmenin tamamı Bilgi teknolojisi ve işletmenin tamamı
Bilgi teknolojisi Bilgi sistemleri
Tanım İşletme yönetimi, yönetim kurulu ve diğer yetkili personelce
oluşturulan ve etkilenen bir yöntem.
İşletme
politikaları iş yapış tarzı ve Organizasyon yapısını kapsayan bir yöntem.
Çalışanlardan oluşan bir sistem.
Yöntemler ve alt sistemlerden oluşur.
Tanım yapılmamıştır.
Amaç Güvenilir finansal raporlama faaliyet etkinliği yasa ve yönetmeliklere uygunluk
Güvenilir finansal raporlama faaliyet etkinliği yasa ve yönetmeliklere uygunluk tam, doğru ve gizli bilgiler
Güvenilir finansal raporlama faaliyet etkinliği yasa ve yönetmeliklere uygunluk
Güvenilir finansal raporlama
yönetimin
hedeflere ulaşma başarısı
Kaynak: Aksoy, T. (2005). “Ulusal ve Uluslararası Düzenlemeler Bağlamında İç Kontrol ve İç Kontrol Gerekliliği”, ĠSMMMO Mali Çözüm Dergisi, 72, s. 145.
1.6.Ġç Kontrol Sisteminin GerçekleĢtirilme Nedenleri
Yönetim, etkili bir iç kontrol sistemi kurarken üç geniş kapsamlı hedefe sahiptir.
Birincisi, yönetim yatırımcılar, alacaklılar ve diğer kullanıcılar için mali tablolar hazırlamaktan sorumludur. Finansal raporlamanın, finansal tabloların güvenilirliği yönetim açısından iç kontrol sistemi kurmasının birinci ve temel amacıdır. İkinci olarak
15 işletme hedeflerini optimize etmek için kaynakların etkin kullanılması gerekmektedir.
Kontrollerle operasyonların etkinliğinin ve verimliliğinin artırılması amaçlanmaktadır.
İşletmeler, son olarak işletme faaliyetlerinin yasalara ve düzenlemelere uygunluğunu sağlamak için iç kontrol sistemi kurmaktadır (Al-Thuneibat vd., 2015, s. 197). Bununla birlikte işletmeler açısından iç kontrol sisteminin amaçları daha düzenli bir şekilde ifade edilebilir. İşletme yönetimine, işletme amaçlarının gerçekleştirilmesi konusunda uygun düzeyde teminat vermeyi amaçlayan bir süreç olan iç kontrol sistemi genel (esas) amaçları ve özel amaçları olmak üzere iki tür amaca sahiptir. İç kontrol sisteminin esas amaçları (Kiracı, 2003, s. 75).
İşletmenin sahip olduğu varlıkların ve kaynakların korunması,
Muhasebe bilgilerinin doğruluğunun, güvenilirliğinin ve zamanında hazırlanmasının sağlanması,
İşletme faaliyetlerinin etkinliğinin, verimliliğinin sağlanması ve bu etkinliğin, verimliliğin artırılması,
İşletme faaliyetlerinin işletme planlarına, politikalarına, prosedürlere; mevcut yasalara ve düzenlemelere uygunluğunun sağlanması,
İşletme kaynaklarının ekonomik ve verimli kullanılmasının sağlanması, hata, hile, israf ve kötü yönetime karşı kaynakların korunması,
Yönetimin belirlediği hedeflere ve amaçlara ulaşılmasının sağlanması,
İşletmenin hedefleriyle uyumlu kaliteli ürünlerin ve hizmetlerin sunulması,
Kararların doğruæ alınmasınaæ yardımcıæ olmakæ amacıylaæ zamanlı,æ düzenliæ veæ güveniliræ raporlarınæ veæ bilgilerin üretilmesidir.
İç kontrol sisteminin özel amaçları ise; yetkilendirme, gerçeklik, bütünlük/tamlık, kayıtsal doğruluk, sınıflandırma, zamanlılık ve sorumluluktur. Bu amaçlar şu şekilde açıklanabilir (Ömürbek ve Altay, 2011, s. 382);
Yetkilendirme: Faaliyetlerin işletme yönetimi tarafından belirlenen yetkilere ve yetkilendirmelere uygun olarak yerine getirilmesidir. İşletmenin varlıklarının, kayıtlarının, belgelerinin yalnızca yetkili personel tarafından elde edilebilmesi ve üzerinde işlem yapabilmesidir.
16 Gerçeklik: İşletme bünyesinde gerçekleştirilen, gerçek faaliyetlerin ve işlemlerin belgelendirilmesi ve kaydedilmesidir. Yapılan işlemlerin geçerliliğinin sağlanmasıdır.
Bütünlük/Tamlık: Tamlık İşletmede gerçekleştirilen tüm faaliyetlerin belgelendirilmesi, sınıflandırılması ve kaydedilmesidir.
Kayıtsal Uygunluk/Doğruluk: Kayıtsal doğruluk, faaliyetlerin nicelik ve tutar bakımından doğru olarak kayıtlara geçirilmesidir.
Sınıflandırma: İşletme işlemlerinin finansal tablolarda doğru gruplarda gösterilmesi ve doğru hesaplara kaydedilmesidir. İşletme faaliyetlerinin doğru şekilde sınıflandırılmasıdır da denilebilir.
Zamanlılık: İç kontrol sisteminin özel amaçları arasında yer alan zamanlılık, işlemlerin gerçekleştiği dönemde ve zamanda kaydedilmesi olarak ifade edilebilir.
Sorumluluk: Sorumluluk kavramı, mevcut kayıtların ve varlıkların dönem dönem karşılaştırılması anlamına gelmektedir. Eğer var ise saptanan açıkların nedenlerinin araştırılması ve sorumlu olanların tespit edilmesidir.
1.7.Ġç Kontrol Sisteminin Amaçları
İşletmelerin iç kontrol sistemi kurmakla hedefledikleri pek çok amaç bulunmaktadır. İç kontrol sistemi ile hedeflenen amaçlar aşağıdaki gibi özetlenebilir (Aksoy, 2005, s. 147; COSO, 2013, s. 8, Uyar, 2010, s. 45; Köroğlu ve Uçma, 2006, s.
3-4):
İşletme tarafından ulaşılabilir hedeflerin belirlenmesi,
Belirlenen hedeflere ulaşılabilmesi için gerekli faaliyet planlarının geliştirilmesi,
İş akış süreçlerine ilişkin standartlar oluşturularak, faaliyetlerin belirlenen standartlara uygun yürütülmesinin sağlanması,
İşletmeye ait her türlü varlığın amacına hizmet eder şekilde kullanımının sağlanması,
İş akış süreçleri içerisinde karşılaşılabilecek her türlü zararın önlenmesi,
Dürüst yönetim anlayışının yerleşmesine katkı sağlanması,
İşletme personelinin iş tatminin sağlanması,
Yöneticiler ve çalışanlar için güvence sağlanması,
17
Hata, hile ve her türlü yolsuzluğun önüne geçilmesi,
Muhasebe bilgi sisteminde doğru, gerçeği yansıtır ve zamanında bilgi üretilmesinin sağlanması,
Finansal raporların zamanında ve doğru hazırlanmasının sağlanması,
Ülkede yerleşik mevzuata aykırı iş ve işlem yapılmasının önüne geçilmesi,
İşletmenin karşılaşabileceği risklerin makul seviyede tutulmasının sağlanması.
İç kontrol sistemi işletmelerde bahsi geçen amaçların gerçekleştirilmesine dair makul bir güvence sağlamak üzere tasarlanır.
Muhasebede yaşanan hileli işlemleri yok etmek veya en aza indirgemek sadece kontrolcünün çalışması sonucu giderilmesi zordur. İşletme yönetimi ile birlikte, hileden zarar gören ya da zarar görme olasılığı olan tüm çevrelerin kontrolcüye yardımcı olması önemlidir. Hilenin önlenmesi için yapılacak faaliyetler, yapılmış olan hilenin ortaya çıkartılmasından daha önemlidir. Hile eylemlerinin verdiği zarar hilenin engellenmesi için oluşturulacak düzenin önemini artırmaktadır (Yardımcıoğlu vd., 2014:182).
1.8.Kontrol Sisteminin Unsurları
İç kontrol sisteminin unsurları, bir işletmede iç kontrol sisteminin yeterli düzeyde var olduğunu gösteren, iç kontrol sisteminin etkinliğini belirleyen bileşenlerdir.
Uluslararası Denetim Standartları arasında yer alan “400 Risk Değerlemesi ve İç Kontrol” adlı standart; muhasebe sistemi, kontrol ortamı ve kontrol prosedürleri olarak iç kontrol sistemi unsurlarını üçe ayırmıştır (Yağcı, 2006, s. 20; Akbulut, 2012, s. 177).
Bununla birlikte COSO (The Committee on Sponsoring Organizations), iç kontrol sistemi unsurlarını daha ayrıntılı olarak incelemiştir. Bu kapsamda, iç kontrol sistemi bileşenleri şunlardır (Bowrin, 2004, s. 125; Rubino ve Vitolla, 2014, s. 743);
Kontrol Çevresi/Ortamı
Risk Belirleme/Değerlendirme
Bilgi ve İletişim
Kontrol Prosedürleri/Faaliyetleri
İzleme/Gözetim
18 ġekil 2. İç Kontrol Sistemi Bileşenleri (COSO Küpü)
Kaynak: http://www.denetciyiz.com/coso-nedir-ne-ise-yarar-coso-modeli-ic- kontrol-yapisi-nedir-coso-kupu-piramidi/
COSO, 2004 yılında kurumsal risk yönetimi kavramını öne çıkarmış ve iç kontrol sistemi bileşenlerini güncellemiştir. Kurumsal risk yönetimi kavramıyla bağlantılı olarak, iç kontrol sistemi bileşenlerine; hedeflerin belirlenmesi, olay tanımlanması ve riske cevap verme olmak üzere üç unsur daha eklenmiştir (Fındık, 2016, s. 642). Buna rağmen genel olarak yukarıda belirtilen beş unsur işletmeler açısından kabul görmektedir.
Etkin bir iç kontrol sistemi, işletme amaçlarına, amaçlanan hedeflere ulaşmanın anahtarıdır. Bir işletmenin, etkin bir iç kontrol sistemine sahip olabilmesi için bu beş bileşenin; kontrol çevresi, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ve izleme‟nin tasarlanması, uygulanması ve amacını gerçekleştirmesi gerekmektedir (Acar ve Akçakanat, 2012, s. 3). Bununla birlikte, bu unsurlar iç kontrol kavramlarıyla ilgili yalnızca geniş bir rehberlik sağlamaktadır. İç kontrol sisteminin ayrıntıları (tasarlanması, önemi, kullanımı, uygulanması) işletmelerin kendilerine bırakılmaktadır (Lansiluoto vd., 2016, s. 6).
İç kontrol sisteminin bileşenleri tüm işletmeler için uygulanabilir özelliktedir.
Bunun yanında bir işletmede iç kontrol sisteminin oluşturulması esnasında, işletmeden işletmeye farklılık gösteren ve iç kontrol sistemini etkileyen bazı noktalar göz önüne
19 alınmalıdır (Ömürbek ve Altay, 2011, s.384). Bir işletmede uygulanan iç kontrol sistemi genel olarak; işletmenin organizasyon ve mülkiyet yapısından, hukuki şeklinden, işletmenin faaliyette bulunduğu sektörden ve durumundan, faaliyetlerinin karmaşıklığından ve çeşitliliğinden, işletmede kullanılan bilgi ve iletişim sistemlerinden, veri işleme yöntemlerinden, yasal düzenlemelerden, çalışanlardan ve işletme yönetiminin kararlarından etkilenir (Kaval, 2008, s.125). İç kontrol sisteminin etkinliği bu faktörlere ve muhasebe bilgi sisteminin etkinliğine (Türedi, 2008, s. 8) bağlı olarak değişmektedir. Bununla birlikte iç kontrol sistemi, sürekli gelişen dinamik bir süreçtir. Bu doğrultuda her işletme için tek tip bir iç kontrol sisteminin kullanılması uygun olmamaktadır. Tüm işletmelerin kendi ihtiyaçlarına uygun bir iç kontrol sistemi tasarlaması ve uygulaması gerekmektedir (Baskıcı, 2015, s. 167).
İç kontrol, sadece belirli bir zaman diliminde yapılan bir prosedür veya politika değildir. Bunun yerine, bir organizasyon içindeki her seviyede sürekli çalışan, entegre bir sistemdir (Bowrin, 2004, s. 125). İç kontrolün entegre çerçevesi birbiriyle ilişkili beş bileşenden veya unsurdan oluşmaktadır (Aktürk, 2015, s. 111-112). Her bir bileşen birbirini etkilemekte ve birbirinden etkilenmektedir. Bu nedenle, bir işletmede bulunan iç kontrol sisteminin etkin olarak değerlendirilebilmesi için, iç kontrol sisteminin bileşenlerini kapsayan bir iç kontrol sisteminin oluşturulması gerekmektedir (Acar ve Akçakanat, 2012, s. 3). Bununla birlikte iç kontrol sistemi bileşenlerinin literatürde farklı şekilde adlandırıldığı da görülmektedir. Kontrol ortamı yerine kontrol çevresi, risk değerlendirme yerine risk yönetimi veya risk belirleme, kontrol faaliyetleri yerine kontrol prosedürleri, izleme yerine gözetim kavramları kullanılmaktadır.
1.8.1. Kontrol Ortamı
Kontrol ortamı, iç kontrol sisteminin birinci ve en önemli unsurudur, diğer tüm iç kontrol bileşenlerinin temelidir (İbiş ve Çatıkkaş, 2012, s. 102), işletme için kontrol atmosferini temsil eder (Aldridge ve Colbert, 1994, s. 22). Diğer iç kontrol bileşenlerinin etkinliği kontrol ortamına bağlı olarak değişmektedir. Bu nedenle iç kontrol sürecinin başarılı ya da başarısız olmasının veya başarısının ölçüsünün, üzerine kurulduğu kontrol ortamına bağlı olduğu söylenebilir. Kontrol ortamı, işletmenin iş yapma şeklini göstermektedir (Aktürk ve Kılıç, 2015, s. 6567).
20 Kontrol ortamını anlamak, bir işletmenin iç kontrol sistemini değerlendirmek açısından önemlidir (Aldridge ve Colbert, 1994, s. 22).
Kontrol ortamı, işletmenin çalışanlarının ve yönetiminin, işletme politikaları, prosedürleri, yöntemleri ve işletmenin organizasyon yapısında yer alan kontrollere ve kontrollerin önemine ilişkin farkındalıklarını yansıtmakta (Baskıcı, 2015, s. 167-168) ve tutumlarını ortaya koymaktadır. Diğer bir ifadeyle, yönetimin işletmeye kontrol bilincini yerleştirmesidir (Akbulut, 2012, s. 178). Kaynağını işletmenin geçmişi, kurumsal kültürü ve yönetim felsefesinin oluşturduğu kontrol ortamı (Bakkal ve Kasımoğlu, 2012, s. 182), aşağıdaki faktörleri içermekte ve bu faktörlerden etkilenmektedir. Bunlar (Ömürbek ve Altay, 2011, s. 384; Aktürk ve Kılıç, 2015, s.
6567);
Çalışanların ve yönetimin bütünlüğü,
Dürüstlük ve ahlaki değerler ve yeterlilikleri,
İşletme yönetiminin tutum ve davranışları, yönetim felsefesi ve çalışma tarzı,
Örgüt yapısı,
Denetim komitesi ve iç denetim fonksiyonu,
Yetki ve sorumlulukların atanma biçimi ve belirlenmesi,
İnsan kaynakları yönetimi ve politikaları
Bir işletmenin istenilen ve olması gereken durumu üzerine kurulan kontrol ortamı (Akbulut, 2012, s. 178), iç kontrol faaliyetlerini direkt olarak etkileyenæ ahlakiæ değerler,æ insanæ kaynaklarıæ yönetimi,æ işletmeæ yapısıæ gibiæ alanları kapsamaktadır.
Kontrollerin gerçekleştirilmesinde ve sistemin başarılı olmasında en önemli rol çalışanlarındır. Bu nedenle işletmede çalışan her personelin, yetki ve sorumluluklarını tam olarak bilmesi gerekmektedir (Bakkal ve Kasımoğlu, 2012, s. 183; İbiş ve Çatıkkaş, 2012, s. 102).
Bir işletmede, güçlü bir kontrol ortamında, işletme faaliyetlerinin etkili ve verimli (Güner, 2009, s. 188), iç kontrol faaliyetlerinin ise etkin olduğu düşünülmektedir. Zayıf bir kontrol ortamıysa, işletmede gerçekleşen hata ve hile olasılığını artırır, finansal tablolarının güvenilirliğini ve muhasebe kontrollerinin etkinliğini azaltır (Acar ve Akçakanat, 2012, s. 4). Denetçiler genellikle, kontrol
21 ortamının zayıf olduğu işletmelerde, güçlü ve bağımsız kontrol usullerinin kontrol ortamının etkisini hafiflettiği durumlar dışında, tüm iddialar için kontrol riskini yüksek kabul etmektedir (O‟Leary vd., 2006, s. 71). Bu noktada kontrol ortamının, işletme performansını ölçmede kullanılan, finansal tabloların güvenilirliği üzerindeki etkisi ortaya çıkmaktadır. Çalışmanın sonunda yapılan analizlerle kontrol ortamının işletme performansı üzerinde etkisi olup olmadığı tespit edilecektir.
1.8.2. Risklerin Değerlendirilmesi
İşletme bilimi açısından risk, gerçekleşmesi halinde (Türedi vd., 2014, s. 147) işletmenin amaçlarına ulaşmasına veya belirlediği stratejileri uygulamasına engel olan faaliyet ve eylemlerdir (Demirbaş, 2005, s. 177). Risk kavramı, işletme faaliyetlerinin planlandığı, beklenildiği ve istenildiği gibi gerçekleşmeme olasılığı olarak da ifade edilebilir (Kaval 2008, s. 131; Kepekçi 2004, s. 66). Risk değerlemesi kavramı ise risk kavramı ile bağlantılı olarak, işletmenin hedeflerinin ve amaçlarının gerçekleştirilmesini engelleyen risklerin belirlenmesi, analiz edilmesi ve riskleri minimize edecek uygun önlemlerin alınması süreci olarak tanımlanmaktadır (Akyel, 2010, s. 87; İbiş ve Çatıkkaş, 2012, s. 102). Risk değerlemesi, işletmenin içinde bulunduğu koşullar ve bu koşullarda ortaya çıkan değişiklikler göz önüne alınarak sürekli olarak uygulanan bir faaliyettir (Acar ve Akçakanat, 2012, s. 4). Kısaca, risklerin tanımlanması, değerlendirilmesi ve yönetimidir (Jones, 2008, s. 1052).
Risk değerlemesi kavramı yerine risk değerlendirmesi, risk belirlemesi veya risk yönetimi kavramları da kullanılmaktadır. Bu bağlamda işletme açısından (kurumsal) risk yönetimi kavramı, işletmeyi etkileyebilecek potansiyel olayları belirlemek ve işletmenin hedeflerine ulaşılmasını sağlamada makul bir güvence vermek için, işletmenin risk iştahındaki riskleri yönetmek üzere tasarlanmış bir süreçtir. Risk yönetimi ve iç kontrol, stratejik iş hedeflerini gerçekleştirmek için yürütülen, bir işletmenin merkezi işletme faaliyetlerinin ayrılmaz bir parçasıdır (Spira ve Page, 2003, s. 641).
İşletmeler faaliyette bulunduğu süre boyunca büyüklükleri, yapıları ve özellikleri nasıl olursa olsun, amaçlarına ulaşmada çeşitli risklerle karşılaşırlar (Baskıcı, 2015, s.
168) ve bu risklere katlanmak zorundadır. İşletmenin kuruluş amacının temel gayesi olan kâr, bu risklere katlanmanın bir sonucudur (Kepekçi, 2004, s. 66). Riski sıfıra
22 indirebilecek herhangi bir yol yoktur (Baskıcı, 2015, s. 168). Bu nedenle işletmenin varlığını devam ettirebilmesi için, iç kontrol faaliyetlerinin ve sürecinin risk odaklı bir anlayışla yürütülmesi gerekmektedir (Saltık, 2007, s. 61 Akt. Güner, 2009, s. 189).
Risk değerlendirme süreci planlama aşamasında başlayan ve gelecek odaklı yürütülen bir süreçtir. Çeşitliæ seviyelerdekiæ riskleriæ değerlendirmekæ içinæ enæ uygunæ zamanın planlama aşaması olduğu düşünülmektedir. COSO risk değerlendirme sürecinin üç aşamada yapılmasını önermektedir. Bunlar; riskin öneminin belirlenmesi, riskin gerçekleşme olasılığının ve gerçekleşme düzeyinin değerlendirilmesi,æ riskinæ nasılæ yönetilmesiæ veæ neæ gibiæ önlemleræ alınmasıæ gerektiğineæ karar verilmesidir (Bakkal ve Kasımoğlu, 2012, s. 185). Risk değerlendirme süreci konusunda farklı yaklaşımlar da söz konusudur. Bunlar; riski tespit etmek, riski ölçmek, organizasyonun üstesinden gelebileceği risk kapasitesini belirlemek ve risklere verilecek yanıtları üretmek aşamalarından oluşmaktadır (Akyel, 2010, s. 87).
Risk değerlendirmesinin yapılabilmesi için işletme amaçlarının açık, net ve tutarlı olması gerekmektedir (Demirbaş, 2005, s. 169-170). Amaçlar belirlendikten sonra, işletmenin amaçlarının ve hedeflerinin gerçekleştirebilmesi için, öncellikle işletmenin karşılaştığı ve karşılaşabileceği riskleri tanımlaması, değerlendirmesi, analiz etmesi ve son olarak da yönetmesi gerekir (Acar ve Akçakanat, 2012, s. 4). Etkin bir risk değerlendirmesi risklerin belirlenmesi, kontrol edilmesi ve yönetilmesine olanak tanımalıdır (Demirbaş, 2005, s. 169). Bir işletmede, iç kontrol yapısı kurulmadan önce, yönetim mevcut işletme risklerinin türlerini ve önem düzeylerini belirlemeli ve tanımlamalıdır (Kepekçi, 2004, s. 66;). Kurulduktan sonra, ilk olarak iç kontrol sisteminin zayıf ve güçlü yanları tespit edilmelidir. Daha sonra, risk alanları belirlenmeli ve kontrol faaliyetleri riskli alanlarda yoğunlaştırılmalıdır. Bu noktada risk değerlendirmesi, değişen koşullar dikkate alınarak iç kontrollerde sürekli değişiklik yapmak anlamına gelmektedir (İbiş ve Çatıkkaş, 2012, s. 102). Yönetim, işletmenin karşılaştığı ya da karşılaşabileceği risklerden kaçınılamayacağını kabul ettikten sonra, bu riskleri azaltmak ve en aza indirmek için etkin bir iç kontrol sistemi kurmalıdır (Ömürbek ve Altay, 2011, s. 384).
